Nul
Rocco | CC
Onderzoekers hebben aangetoond dat de natie-staat hacking groepen zijn niet alleen gewijd aan opvallende doelen uitgegeven voor hen, maar ook om het bestrijden van elkaar.
Op woensdag, Kaspersky Labs onderzoekers presenteerden hun bevindingen op de Virus Bulletin conference in Woburn, MA, beweren dat geavanceerde dreigingen proactief gericht op andere groepen in een land-grab voor het slachtoffer van gegevens, maar ook als een middel om te kopiëren van elkaars instrumenten en sonde elkaars infrastructuur.
Ook bekend als SIGINT, of de “fourth party collectie praktijk van het spioneren op een spionage spionage op iemand anders,” volgens het Global Research & Analysis Team (GReAT), dergelijke aanvallen zijn het meest waarschijnlijk zal worden gelanceerd door een natiestaat gesponsorde groepen om te richten en door minder geavanceerde groepen en buitenlandse concurrenten.
Er zijn twee benaderingen om deze interne oorlogvoering die groepen hebben de neiging te nemen. De eerste, een “passieve” – model, gaat het onderscheppen van elkaars data en communicatie, bijvoorbeeld wanneer opdrachten worden uitgegeven aan een slave systeem via een command-and-control (C&C) server. Kaspersky zegt dat dergelijke aanvallen, wanneer goed uitgevoerd, kan worden “bijna onmogelijk op te sporen.”
De “actieve” aanpak, maar gaat het infiltreren van een hacken van de groep van de infrastructuur. Terwijl meer kans om te worden ontdekt, deze aanvallen kunnen leiden tot diefstal van het slachtoffer informatie, tools, en een diep inzicht in hoe andere bedreiging actoren opereren.
Een gemeenschappelijke tactiek gebruikt door de staat gesponsorde groepen tegen elkaar, is de installatie van backdoors in C&C-infrastructuur, die zorgt voor persistentie. Kaspersky ontdekt twee van zulke voorbeelden in het wild, waarvan er één in de NetTraveler kwaadaardige server, gebruikt voor het doel activisten in Azië door een Chinese groep.
De tweede werd gevonden in het C&C-infrastructuur in dienst van Crouching Yeti, ook wel bekend als Energieke Beer, een russisch-sprekende bedreiging groep die is gekoppeld aan de aanvallen tegen de industriële sector.
Echter, het team was niet in staat om te traceren van de groepen die de engineering van de achterdeuren.
Een andere tactiek in dienst is van de bewaking van schadelijke websites. In 2016, een koreaans sprekende staat-gesponsorde groep genaamd DarkHotel gehost schadelijke scripts voor een andere groep genaamd ScarCruft, die gericht russische, Chinese en Zuid-koreaanse slachtoffers.
“De DarkHotel werking dateert van April 2016, terwijl de ScarCruft aanvallen werden uitgevoerd, een maand later, wat suggereert dat ScarCruft kan hebben waargenomen dat de DarkHotel aanvallen vóór de lancering van haar eigen,” het team zegt.
Soms, echter, bedreiging groepen besluiten om spelen leuk en delen, eerder dan te stelen.
Kaspersky ontdekt dat een server die behoren tot de Magneet van Bedreigingen, een groep uit het Midden-Oosten, ook gehost implantaten en kwaadaardige tools gebruikt door hacking groepen Regin, Vergelijking van de Groep, Turla, ItaDuke, Animal Farm, en Careto — engels, russisch, frans en spaans-sprekende gemeenschappen, respectievelijk.
Het delen van geavanceerde tools en gegevens heeft wel een nadeel-als het is deze server die leidde tot de ontdekking van de Vergelijking van de Groep, bleek later te worden gekoppeld aan de AMERIKAANSE National Security Agency (NSA).
De constante diefstal, kopiëren en interne gevechten tussen staat-gesponsorde groepen zijn het maken van de rol van security-onderzoeker moeilijker naarmate de tijd vordert. Zonder duidelijke “handtekeningen” van elke groep, het bijhouden van wie waarvoor verantwoordelijk is, kan het zeer moeilijk zijn, en zonder voorzichtigheid, kon kenmerk aanvallen van verschillende landen en groepen onjuist.
“Attribution is het moeilijk aan de beste tijden als aanwijzingen zijn zeldzaam en makkelijk te manipuleren zijn, en we hebben nu ook rekening houden met de impact van dreigingen het hacken van elkaar,” zei Juan Andres Guerrero-Saade, Principal Security Researcher van Kaspersky. “Als meer groepen benutten van elkaars toolkits, slachtoffers en infrastructuur, voegen hun eigen implantaten of vaststellen van de identiteit van hun slachtoffer te monteren verdere aanvallen, waar zal die dreiging jagers proberen op te bouwen een duidelijke en nauwkeurige foto te maken?”
0